第10章信息系統(tǒng)安全等級與

1、第第10章章 信息系統(tǒng)安全等級與標(biāo)準(zhǔn)信息系統(tǒng)安全等級與標(biāo)準(zhǔn) 10.1 國際安全評價標(biāo)準(zhǔn)概述國際安全評價標(biāo)準(zhǔn)概述 10.2 中國信息安全等級保護(hù)準(zhǔn)則中國信息安全等級保護(hù)準(zhǔn)則 習(xí)習(xí) 題題 安全需求與安全代價，總是安全問題上相互對立的統(tǒng)一體。對于信息技術(shù)、信息系統(tǒng)和信息產(chǎn)品的安全等級進(jìn)行評價，將會使生產(chǎn)者和用戶在這兩個方面容易找到一個科學(xué)的折中。因此，建立完善的信息技術(shù)安全的測評標(biāo)準(zhǔn)與認(rèn)證體系，規(guī)范信息技術(shù)產(chǎn)品和系統(tǒng)的安全特性，是實現(xiàn)信息安全保障的一種有效措施。它有助于建立起科學(xué)的安全產(chǎn)品生產(chǎn)體系、服務(wù)體系。 10.1 國際安全評價標(biāo)準(zhǔn)概述國際安全評價標(biāo)準(zhǔn)概述 10.1.1 DoD5200.28-M

2、和和TCSEC 10.1.2 歐共體信息技術(shù)安全評價準(zhǔn)則歐共體信息技術(shù)安全評價準(zhǔn)則ITSEC 10.1.3 加拿大可信計算機(jī)產(chǎn)品安全評價準(zhǔn)則加拿大可信計算機(jī)產(chǎn)品安全評價準(zhǔn)則CTCPEC 10.1.4 美國信息技術(shù)安全評價聯(lián)邦準(zhǔn)則美國信息技術(shù)安全評價聯(lián)邦準(zhǔn)則FC 10.1.5 國際通用準(zhǔn)則國際通用準(zhǔn)則CC 第一個有關(guān)信息技術(shù)安全的標(biāo)準(zhǔn)是美國國防部于1985年提出的可信計算機(jī)系統(tǒng)評價準(zhǔn)則TCSEC，又稱桔皮書。以后，許多國家和國際組織也相繼提出了新的安全評價準(zhǔn)則。圖10.1所示為國際主要信息技術(shù)安全測評標(biāo)準(zhǔn)的發(fā)展及其聯(lián)系。 加拿大可信計算加拿大可信計算機(jī)機(jī)產(chǎn)品評價準(zhǔn)則產(chǎn)品評價準(zhǔn)則CTCOEC（19

3、89年）年）美國國防部可美國國防部可信信計算機(jī)評價準(zhǔn)計算機(jī)評價準(zhǔn)則則TCSEC（1983年）年）美國聯(lián)邦準(zhǔn)則美國聯(lián)邦準(zhǔn)則FC（1992年）年）國際通用準(zhǔn)則國際通用準(zhǔn)則（CC） （1996年）年） CC成為國際成為國際標(biāo)準(zhǔn)標(biāo)準(zhǔn)ISO 15408 （1999年）年） 歐洲信息技術(shù)歐洲信息技術(shù)安全性評價準(zhǔn)則安全性評價準(zhǔn)則ITSEC（1991年）年）美國國防部美國國防部DoD5200.28-M（1979年年6月月）GB17859-1999 （1999年）年） 圖圖10.1 國際主要信息技術(shù)安全測評標(biāo)準(zhǔn)的發(fā)展及其聯(lián)系國際主要信息技術(shù)安全測評標(biāo)準(zhǔn)的發(fā)展及其聯(lián)系 在信息安全等級標(biāo)準(zhǔn)中，一個非常重要的概念是可

4、信計算基（Trusted Computer Base，TCB）。TCB是計算機(jī)系統(tǒng)內(nèi)保護(hù)裝置的總體，包括硬件、固件和軟件。它們根據(jù)安全策略來處理主體（系統(tǒng)管理員、安全管理員、用戶、進(jìn)程）對客體（進(jìn)程、文件、記錄、設(shè)備等）的訪問。TCB還具有抗篡改的性能和易于分析與測試的結(jié)構(gòu)。 10.1.1 10.1.1 DoD5200.28-MDoD5200.28-M和和TCSECTCSEC 1. DoD5200.28-M 世界上最早的計算機(jī)系統(tǒng)安全標(biāo)準(zhǔn)應(yīng)當(dāng)是美國國防部1979年6月25日發(fā)布的軍標(biāo)DoD5200.28-M。它為計算機(jī)系統(tǒng)定義了4種不同的運(yùn)行模式。 （1）受控的安全模式：系統(tǒng)用戶對系統(tǒng)的機(jī)密材

5、料的訪問控制沒有在操作系統(tǒng)中實現(xiàn)，安全的實現(xiàn)可以通過空子用戶對機(jī)器的操作權(quán)等管理措施實現(xiàn)。 （2）自主安全模式：計算機(jī)系統(tǒng)和外圍設(shè)備可以在指定用戶或用戶群的控制下工作，該類用戶了解并可自主地設(shè)置機(jī)密材料的類型與安全級別。 （3）多級安全模式：系統(tǒng)允許不同級別和類型的機(jī)密資料并存和并發(fā)處理，并且有選擇地許可不同的用戶對存儲數(shù)據(jù)進(jìn)行訪問。用戶與數(shù)據(jù)的隔離控制由操作系統(tǒng)和相關(guān)系統(tǒng)軟件實現(xiàn)。 （4）強(qiáng)安全模式：所有系統(tǒng)部件依照最高級別類型得到保護(hù)，所有系統(tǒng)用戶必須有一個安全策略；系統(tǒng)的控制操作對用戶透明，由系統(tǒng)實現(xiàn)對機(jī)密材料的并發(fā)控制。 2. TCSEC TCSEC是計算機(jī)系統(tǒng)安全評價的第一個正式標(biāo)準(zhǔn)

6、，于1970年由美國國防科學(xué)技術(shù)委員會提出，于1985年12月由美國國防部公布。 TCSEC把計算機(jī)系統(tǒng)的安全分為4等7級： （1）D等（含1級） D1級系統(tǒng)：最低級。只為文件和用戶提供安全保護(hù)。 （2）C等（含2級） C1級系統(tǒng)：可信任計算基TCB（Trusted Computing Base）通過用戶和數(shù)據(jù)分開來達(dá)到安全目的，使所有的用戶都以同樣的靈敏度處理數(shù)據(jù)（可認(rèn)為所有文檔有相同機(jī)密性） C2級系統(tǒng)：在C1基礎(chǔ)上，通過登錄、安全事件和資源隔離增強(qiáng)可調(diào)的審慎控制。在連接到網(wǎng)上時，用戶分別對自己的行為負(fù)責(zé)。 （3）B等（含3級） B級具有強(qiáng)制性保護(hù)功能。強(qiáng)制性意味著在沒有與安全等級相連的情

7、況下，系統(tǒng)就不會讓用戶寸取對象。 （a）B1級系統(tǒng)： 對每個對象都進(jìn)行靈敏度標(biāo)記，導(dǎo)入非標(biāo)記對象前要先標(biāo)記它們； 用靈敏度標(biāo)記作為強(qiáng)制訪問控制的基礎(chǔ)； 靈敏度標(biāo)記必須準(zhǔn)確地表示其所聯(lián)系的對象的安全級別； 系統(tǒng)必須使用用戶口令或身份認(rèn)證來決定用戶的安全訪問級別； 系統(tǒng)必須通過審計來記錄未授權(quán)訪問的企圖。 （b）B2級系統(tǒng)： 必須符合B1級系統(tǒng)的所有要求； 系統(tǒng)管理員必須使用一個明確的、文檔化的安全策略模式作為系統(tǒng)可信任運(yùn)算基礎(chǔ)體制；可信任運(yùn)算基礎(chǔ)體制能夠支持獨(dú)立的操作者和管理員； 只有用戶能夠在可信任通信路徑中進(jìn)行初始化通信； 所有與用戶相關(guān)的網(wǎng)絡(luò)連接的改變必須通知所有的用戶。 （c）B3級系統(tǒng)

8、具有很強(qiáng)的監(jiān)視委托管理訪問能力和抗干擾能力。要求： 必須符合B2系統(tǒng)所有安全需求； 必須設(shè)有安全管理員； 除控制個別對象的訪問外，必須產(chǎn)生一個可讀的安全列表；每個被命名的對象提供對該對象沒有訪問的用戶列表說明； 系統(tǒng)驗證每一個用戶身份，并會發(fā)送一個取消訪問的審計跟蹤消息； 設(shè)計者必須正確區(qū)分可信任路徑和其他路徑； 可信任的通信基礎(chǔ)體制為每一個被命名的對象建立安全審計跟蹤； 可信任的運(yùn)算基礎(chǔ)體制支持獨(dú)立的安全管理。 （4）A等（只含1級）最高安全級別 A1級與B3級相似，對系統(tǒng)的結(jié)構(gòu)和策略不作特別要求，而系統(tǒng)的設(shè)計者必須按照一個正式的設(shè)計規(guī)范進(jìn)行系統(tǒng)分析；分析后必須用核對技術(shù)確保系統(tǒng)符合設(shè)計規(guī)范

9、。A1系統(tǒng)必須滿足： 系統(tǒng)管理員必須接收到開發(fā)者提供的安全策略正式模型； 所有的安裝操作都必須由系統(tǒng)管理員進(jìn)行； 系統(tǒng)管理員進(jìn)行的每一步安裝操作必須有正式的文檔。 TCSEC的初衷主要是針對集中式計算的分時多用戶操作系統(tǒng)。后來又針對網(wǎng)絡(luò)（分布式）和數(shù)據(jù)庫管理系統(tǒng)（C/S結(jié)構(gòu)）補(bǔ)充了一些附加說明和解釋，典型的有可信計算機(jī)網(wǎng)絡(luò)系統(tǒng)說明（NCSC-TG-005）和可信數(shù)據(jù)庫管理系統(tǒng)解釋等。 10.1.2 10.1.2 歐共體信息技術(shù)安全評價準(zhǔn)則歐共體信息技術(shù)安全評價準(zhǔn)則ITSECITSEC ITSEC是歐共體于1991年發(fā)布的，它是歐洲多國安全評價方法的綜合產(chǎn)物，應(yīng)用領(lǐng)域為軍隊、政府和商業(yè)。該標(biāo)準(zhǔn)將

10、安全的概念分為功能和評估兩部分。 1. 功能準(zhǔn)則 分為10級：F1F10： F1F5對應(yīng)TCSEC的DA； F6F10對應(yīng)數(shù)據(jù)和程序的完整性，系統(tǒng)的可用性，數(shù)據(jù)通信的完整性、保密性。 2. 評估準(zhǔn)則 分為6級，分別是測試、配置控制和可控的分配、詳細(xì)設(shè)計和編碼、詳細(xì)的脆弱性分析、設(shè)計于源代碼明顯對應(yīng)以及設(shè)計與源代碼在形式上的一致。 10.1.3 10.1.3 加拿大可信計算機(jī)產(chǎn)品安全評價準(zhǔn)則加拿大可信計算機(jī)產(chǎn)品安全評價準(zhǔn)則CTCPECCTCPEC CTCPEC是加拿大于1993年發(fā)布的。它綜合了TCSEC和ITSEC兩個準(zhǔn)則的優(yōu)點，專門針對政府需求設(shè)計。它將安全分為功能性需求和保證性需求兩部分。

11、功能性需求分為4大類： 機(jī)密性； 可用性； 完整性； 可控性。 每一種安全需求又分為一些小類（分級條數(shù)05），以表示安全性上的差別。 10.1.4 10.1.4 美國信息技術(shù)安全評價聯(lián)邦準(zhǔn)則美國信息技術(shù)安全評價聯(lián)邦準(zhǔn)則FC FC FC也是吸收了TCSEC和ITSEC兩個準(zhǔn)則的優(yōu)點于1993年發(fā)布的。它引入了“保護(hù)輪廓（PP）”的概念。每個輪廓都包括功能、開發(fā)保證和評價三部分，在美國政府、民間和商業(yè)上應(yīng)用很廣。 10.1.5 10.1.5 國際通用準(zhǔn)則國際通用準(zhǔn)則CC CC 1993年6月，歐、美、加等有關(guān)6國，將各自獨(dú)立的準(zhǔn)則集合成一系列單一的、能被廣泛接受的IT安全準(zhǔn)則通用準(zhǔn)則CC，將CC提

12、交給ISO，并于1996年頒布了1.0版。1999年12月ISO正式將CC 2.0（1998年頒布）作為國際標(biāo)準(zhǔn)ISO 15408發(fā)布。 CC的主要思想和框架都取自ITSEC和FC，并突出了“保護(hù)輪廓”的概念。它將評估過程分為安全保證和安全功能兩部分。安全保證要求為7個評估保證級別： EAL1：功能測試 EAL2：結(jié)構(gòu)測試 EAL3：系統(tǒng)測試和檢查 EAL4：系統(tǒng)設(shè)計、測試和復(fù)查 EAL5：半形式化設(shè)計和測試 EAL6：半形式化驗證的設(shè)計和測試 EAL7：集成化驗證的設(shè)計和測試 表10.1為CC、TCSEC、ITSEC標(biāo)準(zhǔn)之間的對應(yīng)關(guān)系。 CCTCSECITSECDEAL1E1EAL2C1E2

13、EAL3C2E3EAL4B1E4EAL5B2E5EAL6B3E6EAL7AE7表表10.1 CC、TCSEC、ITSEC標(biāo)準(zhǔn)之間的對應(yīng)關(guān)系標(biāo)準(zhǔn)之間的對應(yīng)關(guān)系 CC目前已經(jīng)發(fā)布了如下的版本： 1996年6月發(fā)布CC第1版； 1998年5月發(fā)布CC第2版； 1999年10月發(fā)布CC第2.1版，并成為ISO標(biāo)準(zhǔn)。 10.2 中國信息安全等級保護(hù)準(zhǔn)則中國信息安全等級保護(hù)準(zhǔn)則 10.2.1 第一級：用戶自主保護(hù)級第一級：用戶自主保護(hù)級 10.2.2 第二級：系統(tǒng)審計保護(hù)級第二級：系統(tǒng)審計保護(hù)級 10.2.3 第三級：安全標(biāo)記保護(hù)級第三級：安全標(biāo)記保護(hù)級 10.2.4 第四級：結(jié)構(gòu)化保護(hù)級第四級：結(jié)構(gòu)化保

14、護(hù)級 10.2.5 第五級：訪問驗證保護(hù)級第五級：訪問驗證保護(hù)級 習(xí)習(xí) 題題 中國已經(jīng)發(fā)布實施計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB17859-1999。這是一部強(qiáng)制性國家標(biāo)準(zhǔn)，也是一種技術(shù)法規(guī)。它是在參考了DoD 5200.28-STD和NCSC-TC-005的基礎(chǔ)上，從自主訪問控制、強(qiáng)制訪問控制、標(biāo)記、身份鑒別、客體重用、審計、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑和可恢復(fù)等10個方面將計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分為5個級別的安全保護(hù)能力： 第一級：用戶自主保護(hù)級； 第二級：系統(tǒng)審計保護(hù)級； 第三級：安全標(biāo)記保護(hù)級； 第四級：結(jié)構(gòu)化保護(hù)級； 第五級：訪問驗證保護(hù)級。 計算機(jī)信息系統(tǒng)的安全保護(hù)

15、能力隨著安全保護(hù)等級的增高而增強(qiáng)。 在信息安全等級標(biāo)準(zhǔn)中，各等級之間的差異在于TCB的構(gòu)造不同以及其所具有的安全保護(hù)能力的不同。下面介紹各等級的基本內(nèi)容。 10.2.1 10.2.1 第一級：用戶自主保護(hù)級第一級：用戶自主保護(hù)級 本級的可信計算基通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。它具有多種形式的控制能力，對用戶實施訪問控制，即為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞。 （1）自主訪問控制： 可信計算基定義系統(tǒng)中的用戶和命名用戶對命名客體的訪問，并允許命名用戶以自己的身份和（或）用戶組的身份指定并控制對客體的訪問；阻止非授權(quán)用戶讀取敏感信息。

16、 （2）身份鑒別： 從用戶的角度看，可信計算基的責(zé)任就是進(jìn)行身份鑒別。在系統(tǒng)初始化時，首先要求用戶標(biāo)識自己的身份，并使用保護(hù)機(jī)制（例如：口令）來鑒別用戶的身份，阻止非授權(quán)用戶訪問用戶身份鑒別數(shù)據(jù)。 （3）數(shù)據(jù)完整性：可信計算基通過自主完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。 10.2.2 10.2.2 第二級：系統(tǒng)審計保護(hù)級第二級：系統(tǒng)審計保護(hù)級 這一級除具備第一級所有的安全功能外，要求創(chuàng)建和維護(hù)訪問的審計跟蹤記錄，使所有用戶對自己的合法性行為負(fù)責(zé)。具體保護(hù)能力如下。 （1）自主訪問控制：可信計算基定義實施的訪問控制的粒度是單個用戶。沒有存取權(quán)的用戶只允許由授權(quán)用戶指定對客體的訪問權(quán)。

17、（2）身份鑒別比用戶自主保護(hù)級增加兩點： 通過為用戶提供惟一標(biāo)識，可信計算基使用戶對自己的行為負(fù)責(zé)。 具備將身份標(biāo)識與該用戶所有可審計行為相關(guān)聯(lián)的能力。 （3）客體重用： 在可信計算基的空閑存儲客體空間中，對客體初始指定、分配或再分配一個主體之前，撤銷該客體所含信息的所有授權(quán)。當(dāng)主體獲得對一個已被釋放的客體的訪問權(quán)時，當(dāng)前主體不能獲得原主體活動所產(chǎn)生的任何信息。 （4）審計： 在可信計算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計跟蹤記錄，并能阻止非授權(quán)的用戶對它訪問或破壞。 可信計算基能記錄下述事件：使用身份鑒別機(jī)制；將客體引入用戶地址空間（例如：打開文件、程序初始化）；刪除客體；由操作員、系統(tǒng)管理員

18、或（和）系統(tǒng)安全管理員實施的動作，以及其他與系統(tǒng)安全有關(guān)的事件。對于每一事件，其審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別事件，審計記錄包含請求的來源（例如：終端標(biāo)識符）；對于客體引入用戶地址空間的事件及客體刪除事件，審計記錄包含客體名。對不能由可信計算基獨(dú)立分辨的審計事件，審計機(jī)制提供審計記錄接口，可由授權(quán)主體調(diào)用。這些審計記錄區(qū)別于計算機(jī)信息系統(tǒng)可信計算基獨(dú)立分辨的審計記錄。 （5）數(shù)據(jù)完整性：可信計算基通過自主完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。 10.2.3 10.2.3 第三級：安全標(biāo)記保護(hù)級第三級：安全標(biāo)記保護(hù)級 本級的可信計算基具有系統(tǒng)審

19、計保護(hù)級的所有功能。此外，還需以訪問對象的安全級別限制訪問者的訪問權(quán)限，實現(xiàn)對訪問對象的強(qiáng)制訪問。為此需要提供有關(guān)安全策略模型、數(shù)據(jù)標(biāo)記以及主體對客體強(qiáng)制訪問控制的非形式化描述，具有準(zhǔn)確地標(biāo)記輸出信息的能力，消除測試發(fā)現(xiàn)的任何錯誤。 （1）自主訪問控制：同系統(tǒng)審計保護(hù)級。 （2）強(qiáng)制訪問控制： 可信計算基對所有主體及其控制的客體（例如：進(jìn)程、文件、段、設(shè)備）實施強(qiáng)制訪問控制。通過敏感標(biāo)記為這些主體及客體指定安全等級。安全等級用二維組表示：第一維是等級分類（如秘密、機(jī)密、絕密等），第二維是范疇（如適用范疇）。它們是實施強(qiáng)制訪問控制的依據(jù)?？尚庞嬎慊С謨煞N或兩種以上成分組成的安全級。可信計算基控

20、制的所有主體對客體等級分類的訪問： 僅當(dāng)主體安全級中的等級分類高于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別，主體才能讀客體； 僅當(dāng)主體安全級中的等級分類低于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別，主體才能寫一個客體。 可信計算基使用身份和鑒別數(shù)據(jù)，鑒別用戶的身份，并保證用戶創(chuàng)建的可信計算基外部主體的安全級和授權(quán)受該用戶的安全級和授權(quán)的控制。 （3）敏感標(biāo)記： 敏感標(biāo)記是實施強(qiáng)制訪問的基礎(chǔ)。可信計算基應(yīng)明確規(guī)定需要標(biāo)記的客體（例如：進(jìn)程、文件、段、設(shè)備），明確定義標(biāo)記的粒度（如文件級、字段級等）

21、，并必須使其主要數(shù)據(jù)結(jié)構(gòu)具有相關(guān)的敏感標(biāo)記。為了輸入未加安全標(biāo)記的數(shù)據(jù)，可信計算基向授權(quán)用戶要求并接受這些數(shù)據(jù)的安全級別，且可由計算機(jī)信息系統(tǒng)可信計算基審計。 （4）身份鑒別； 可信計算基初始執(zhí)行時，首先要求用戶標(biāo)識自己的身份，而且，可信計算基維護(hù)用戶身份識別數(shù)據(jù)并確定用戶訪問權(quán)及授權(quán)數(shù)據(jù)。其他同系統(tǒng)審計保護(hù)級。 （5）客體重用； 在統(tǒng)可信計算基的空閑存儲客體空間中，對客體初始指定、分配或再分配一個主體之前，撤銷客體所含信息的所有授權(quán)。當(dāng)主體獲得對一個已被釋放的客體的訪問權(quán)時，前主體不能獲得原主體活動所產(chǎn)生的任何信息。 （6）審計 可信計算基能創(chuàng)建和維護(hù)受保護(hù)客體的訪問審計跟蹤記錄，并能阻止非

22、授權(quán)的用戶對它訪問或保護(hù)?？尚庞嬎慊苡涗浵率鍪录菏褂蒙矸蓁b別機(jī)制；將客體引入用戶地址空間（例如：打開文件、程序初始化）；刪除客體；由操作員、系統(tǒng)管理員或（和）系統(tǒng)安全管理員實施的動作，以及其他與系統(tǒng)安全有關(guān)的事件。對于每一事件，其審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別的事件，審計記錄包含請求的來源（例如：終端標(biāo)識符）對于客體引入用戶地址空間的事件及客體刪除事件，審計記錄包含客體名及客體的安全級別。此外，可信計算基具有審計更改可讀輸出記號的能力。對不能由可信計算基獨(dú)立分辨的審計事件，審計機(jī)制提供審計記錄接口，可由授權(quán)主體調(diào)用。這些審計記錄區(qū)別于可信計算基獨(dú)

23、立分辨的審計記錄。 （7）數(shù)據(jù)完整性 可信計算基通過自主和強(qiáng)制完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。在網(wǎng)絡(luò)環(huán)境中，使用完整性敏感標(biāo)記來確保信息在傳送中未受損。 10.2.4 10.2.4 第四級：結(jié)構(gòu)化保護(hù)級第四級：結(jié)構(gòu)化保護(hù)級 本級的計算機(jī)信息系統(tǒng)可信計算基建立于一個明確定義的形式化安全策略模型之上，將它要求第三級系統(tǒng)中的自主和強(qiáng)制訪問控制擴(kuò)展到所以主體與客體。此外，還要考慮隱蔽信道。本級的可信計算基必須結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素；可信計算基的接口也必須明確定義，使其設(shè)計與實現(xiàn)能經(jīng)受更充分的測試和更完整的復(fù)審；加強(qiáng)了鑒別機(jī)制；支持系統(tǒng)管理員和操作員的職能；提供可信設(shè)施管理；

24、增強(qiáng)了配置管理控制。系統(tǒng)具有相當(dāng)?shù)目節(jié)B透能力。 安全標(biāo)記保護(hù)級相比，起主要特征有： （1）可信計算基基于一個明確定義的形式化安全保護(hù)策略。 （2）將第三級實施的（自主或強(qiáng)制）訪問控制擴(kuò)展到所有主體和客體。即在自主訪問控制方面，可信計算基應(yīng)維護(hù)由外部主體能夠直接或間接訪問的所有資源（例如：主體、存儲客體和輸入輸出資源）實施強(qiáng)制訪問控制，為這些主體及客體指定敏感標(biāo)記，這些標(biāo)記是等級分類和非等級類別的組合，他們是實施強(qiáng)制訪問控制的依據(jù)。 （3）審計方面： 計算機(jī)信息系統(tǒng)可信計算基能記錄下述事件：使用身份鑒別機(jī)制；將客體引入用戶地址空間（例如：打開文件、程序初始化）；刪除客體；由操作員、系統(tǒng)管理員或（

25、和）系統(tǒng)安全管理員實施的動作，以及其他與系統(tǒng)安全有關(guān)的事件。對于每一事件，其審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功。對于身份鑒別事件，審計記錄包含請求的來源（例如：終端標(biāo)識符）；對于客體引入用戶地址空間的事件及客體刪除事件，審計記錄包含客體名及客體的安全級別。此外，計算機(jī)信息系統(tǒng)可信計算基具有審計更改可讀輸出記號的能力。 對不能由計算機(jī)信息系統(tǒng)可信計算基獨(dú)立分辨的審計事件，審計機(jī)制提供審計記錄接口，可由授權(quán)主體調(diào)用這些審計記錄區(qū)別于計算機(jī)信息系統(tǒng)可信計算基獨(dú)立分辨的審計記錄。 計算機(jī)信息系統(tǒng)可信計算基能夠?qū)徲嬂秒[蔽存儲信道時可能被使用的事件。 （4）數(shù)據(jù)完整性： 計算機(jī)信息系統(tǒng)可信計算基通過自主和強(qiáng)制完整性策略，阻止非授權(quán)用戶修改或破壞敏感信息。在網(wǎng)絡(luò)環(huán)境中，使用完整性敏感標(biāo)記來確保信息在傳送中未受損。 （5）隱蔽信道分析： 系統(tǒng)開發(fā)者應(yīng)徹底搜索隱蔽存儲信道，并根據(jù)實際測量或工程估算確定每一個被標(biāo)識信道的最大帶寬。 （6）可信路徑： 對用戶的初始登錄和鑒別，計算機(jī)信息系統(tǒng)可信計算